PT-2022-6923 · Unknown+8 · Org.Yaml:Snakeyaml+8

Unknown

·

Publicado

2022-08-30

·

Atualizado

2024-03-15

·

CVE-2022-25857

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
org.yaml:snakeyaml, versões 0 a 1.30
Descrição
O problema está relacionado a uma vulnerabilidade de Negação de Serviço (DoS) devido à ausência de limitação de profundidade de aninhamento para coleções na biblioteca SnakeYAML, que é utilizada para serialização e desserialização de documentos YAML. Essa vulnerabilidade pode ser explorada por um invasor remoto para causar uma interrupção no serviço.
Recomendações
Para as versões 0 a 1.30, atualize para a versão 1.31 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da biblioteca SnakeYAML para minimizar o risco de exploração.

Exploit

Correção

DoS

XML Entity Expansion

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-776CWE-400

Identificadores relacionados

ALSA-2022:6820
BDU:2023-05621
CESA-2022_6820
CVE-2022-25857
DLA-3132-1
GHSA-3MC7-4Q67-W48M
OESA-2023-1162
OESA-2023-1163
OESA-2023-1164
OESA-2023-1165
OPENSUSE-SU-2022_3397-1
OPENSUSE-SU-2024:12308-1
RHSA-2022:6820
RHSA-2022:6821
RHSA-2022:6822
RHSA-2022:6823
RHSA-2022_6820
RHSA-2023:0560
RHSA-2023:0777
RHSA-2023:1043
RHSA-2023:1044
RHSA-2023:1045
RHSA-2023:2097
RHSA-2023:3198
RHSA-2023:6172
RHSA-2023:6179
RHSA-2023:7288
RHSA-2024:0776
RHSA-2024:0777
RHSA-2024:0778
RHSA-2025:4226
RHSA-2025:4437
RLSA-2022:6820
RLSA-2023:2097
SUSE-SU-2022:3397-1
SUSE-SU-2022:3560-1
USN-5944-1

Produtos afetados

Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu
Org.Yaml:Snakeyaml